랜섬웨어(Ransomware)의 일종인 ‘Crypto Locker’ 변종이 야후 메신저를 통해 확산되고 있어 이용자들의 각별한 주의가 요구된다.
 
해당 취약성을 발견하고 상세 리포트를 공개한 NSHC(허영일 대표) Red Alert팀은 “이 악성코드는 작년 해외에서 이슈가 되었던 Crypto Locker와 동일한 것으로 확인되었으며 매우 많은 변종이 확인되었다”고 밝히고 “이번에 발견된 변종은 국내 금융권에도 피해를 입히고 있는 것으로 조사됐다. 22일 오후 피해 사례가 확인되고 있다. 악성코드에 감염되면 문서파일을 암호화하고 암호 해제를 위해서는 비트코인(Bitcoin)으로 결제할 것을 요구하고 있다”고 설명했다. 아래는 최근 발견된 Crypto Locker 변종이다.

 
Red Alert팀 관계자는 “메시지 좌측의 날짜와 시간은 결제 제한 시간으로 만약 시간 내 결제 처리를 하지 않으면 복호화 키를 파괴한다”고 경고했다.
 
랜섬웨어는 트로이목마의 일종으로 사용자의 컴퓨터에 잠입해 사용자의 OS 접근 자체를 차단하거나 내부 문서 및 그림 파일 등을 암호화하는 악성코드다. 암호화된 OS나 파일은 전문가가 복화하기에도 매우 어려우며 복호화 키는 공격자만 알고 있다. 공격자는 감염된 사용자에게 복호화를 조건으로 금품을 요구하는 방식이다.
 
특히 이번 랜섬웨어에 대해 “공격자는 의도적으로 분석을 방해하기 위한 요소를 추가한 것으로 추정된다. 일련의 단순한 동작을 복잡한 파일 연계와 드랍 과정의 반복으로 분석에 많은 시간이 소요되도록 유도하고 있다”며 “동작 조건 또한 복잡한 조건에 성립될 경우에만 동작하도록 하고 있다. 의도적으로 분석을 방해하려는 대표적인 사례”라고 소개했다.
 
대응 방안에 대해 Red Alert팀은 “크립토락커는 일단 감염이 되면 암호화된 파일을 복호화하기 어렵다. 불가능한 것은 아니지만 변종에 따라 복호화 도구를 매번 제작하기에는 어려움이 따른다”며 “또한 공격자가 요구하는 것처럼 결제를 한다해도 복호화는 장담할 수 없다. 그래서 대응할 수 있는 가장 효과적인 방법은 감염되기 전에 예방하는 방법이 최선이다. 유포 경로가 대부분 이메일이나 메신저를 이용하기 때문에 검증되지 않은 사용자로부터 전달받은 웹 링크는 절대 열어보면 안된다”고 조언했다.
 
보다 상세한 리포트 내용은 Red Alert팀 페이스북 페이지에서 다운르도 가능하며 데일리시큐 자료실에서도 다운로드 가능하다.
 
-Red Alert팀: www.facebook.com/nshc.redalert?ref=profile
 
데일리시큐 길민권 기자 mkgil@dailysecu.com